Initiée par plusieurs ministères (dont ceux de l’Économie et de la Culture), la mission exploratoire sur le développement des métavers a récemment rendu son rapport et ses conclusions. Les auteurs de ce rapport ont établi des constats, identifié les enjeux sous-jacents et émis des propositions sur le sujet. Décryptage par Alice Picard, notre juriste consultante en protection des données.
Schéma de certification : ce qu’il faut retenir de l’interview de Sébastien Ziegler (Europrivacy) lors du Printemps des DPO
Dans le cadre des matinales du Printemps des DPO, Digitemis a participé le 8 décembre dernier à l’interview de Sébastien Ziegler, président du Comité international d’experts en protection des données Europrivacy, il a abordé le sujet de la certification des traitements de données personnelles. Le schéma de certification approuvé par l’EDPB a donné lieu à deux ans de discussions avec les autorités de protection des données. Désormais les organismes de certification doivent se faire accréditer par une autorité nationale. Les certifications seront valables sur tout le territoire de l’Espace économique européen.
Sommaire
1. Qui est concerné par le schéma de certification ?
Un organisme privé, public, responsable de traitement comme sous-traitant peut obtenir une certification en se soumettant au mécanisme d’Europrivacy depuis octobre 2022.
2. Pourquoi un tel processus de certification ?
L’outil de certification permettra de certifier un ou plusieurs traitements afin de donner confiance à des partenaires ou personnes concernées mais également de réduire les risques pour ces personnes.
3. Les différentes étapes pour obtenir la certification
Le schéma de certification comprend plusieurs phases :
- L’organisme qui souhaite se faire certifier devra d’abord documenter la conformité du traitement avec les critères officiels de l’Europrivacy.
- La diversité des traitements de données personnelles existant a amené à la définition de critères de certification universels (s’appliquant à tous les traitements de données) et complémentaires (par exemple pour des traitements de données sensibles).
- Ces critères sont susceptibles d’évoluer selon les opinions de l’EDPB ou des autorités nationales.
- Une fois le traitement documenté, on entre dans la phase de certification. C’est un organisme qualifié indépendant et certifié qui valorise le travail de conformité. Cette certification, fondée sur le Règlement Général sur la Protection des Données (RGPD), prend en compte les obligations nationales spécifiques du pays dans lequel est implanté l’organisme.
4. La dernière phase du processus de certification : suivi et amélioration continue
Suite à l’obtention de la certification du traitement, la dernière phase est celle du suivi et de l’amélioration continue de la certification obtenue et de sa valorisation. La plateforme de ressources en ligne permet d’aller encore plus loin. Des outils ont été déployés comme l’académie en ligne qui permet de se former sur le schéma de certification ou la plateforme de ressources en ligne.
Le schéma de certification se veut agile, de sorte à ce que les retours des acteurs concernés sur sa mise en œuvre puissent être pris en compte et ainsi permettre une amélioration du processus. Nous sommes désormais dans l’attente de l’accréditation, par les autorités nationales, d’organismes de certification.
Les autres articles d’Alice Picard, Juriste Consultante Protection des Données Digitemis
Métavers : les enjeux juridiques et cyber (2/2)
Le métavers et ses multiples usages obligent les acteurs du numérique à s’adapter à la nouvelle donne. Plusieurs branches du droit sont concernées par l’expansion de cet espace virtuel. Alice Picard, juriste consultante en Protection des Données chez Digitemis, détaille dans son nouvel article les enjeux juridiques et cyber du métavers.
Derniers articles
Renforcer la sécurité WordPress, du développement des plugins à la configuration serveur
Il y a peu, dans le cadre de recherches sur des plugins WordPress, notre pentester Vincent Fourcade a découvert une injection de code, côté client, dans un module du célèbre CMS. Celle-ci fut vérifiée et validée par les équipes de WPScan. Aujourd’hui, une CVE lui a été attribuée. L’occasion de revenir aujourd’hui sur la sécurité, au sens large, dans le CMS WordPress, que ce soit au niveau de la couche applicative, de la configuration du serveur ou du bureau. C’est parti !
Analyse des Métriques XSS : comprendre l’Impact des injections de code côté client
Lors des tests d’intrusion, l’injection de code côté client est généralement plus aisée à découvrir qu’une injection côté serveur. Le nombre de paramètres dynamiques transitant du back au front, la difficulté d’échapper correctement à l’entrée et à la sortie et la multitude d’encodage liés à l’affichage peuvent être des vrais casse-têtes pour qui souhaite faire la chasse à la XSS. Le JavaScript malveillant semble ainsi avoir de beaux jours devant lui. Cependant, il n’est pas rare qu’à l’issu de l’audit, la criticité d’une telle injection découle directement de la configuration des cookies présents sur l’application. En effet, l’absence de l’attribut HttpOnly majore irrémédiablement les risques liés à ce type d’attaque. Néanmoins, cela signifie-t-il que la présence de cet attribut doive absolument amenuiser la criticité d’une injection ?